在域名系统披露了严重的漏洞被称为卡明斯基的错误,只是美国互联网服务供应商,金融机构或电子商务公司屈指可数五年后已经部署DNS安全扩展(DNSSEC)来减轻这种威胁。
2008年,安全研究员卡明斯基描述的主要的DNS漏洞这使人们有可能让黑客发起缓存中毒攻击,即流量从一个合法的网站重定向到一个假的没有网站经营者或最终用户知道。
信贷:斯蒂芬·萨奥尔
虽然DNS软件补丁可以帮助堵住Kaminsky漏洞,但专家们一致认为,最好的长期解决方案是DNSSEC,它使用数字签名和公钥加密,允许网站验证其域名和相应的IP地址,防止中间人攻击。
【学生时代:10所顶级科技公司ceo大学]
尽管有DNSSEC的承诺,许多美国公司已经在他们的DNS中部署了这一安全层服务器是微乎其微。
通过DNS供应商进行的最新调查Secure64显示DNSSEC的部署不大:
- 在Secure64测试的美国前100大电子商务公司中,没有一家使用数字签名来签署他们的区域,这些机构也没有验证DNSSEC的查询。尽管签署了包括。com在内的热门顶级域名,但在接受测试的100家电子零售商(包括亚马逊(Amazon.com))中,没有一家在每个DNS查询节点上都建立了信任链或经过验证的电子签名。
- 在Secure64测试的全球384家金融服务公司中,有一家签署了该区域协议,而且没有一家建立了信托链。显示出DNSSEC部署迹象的金融服务公司是准联邦机构Sallie Mae。
“无论出于什么原因,确保他们的DNS的重要性还没有提出自己打扮优先为这些组织的足够高的水平,”为Secure64营销的副总裁马克·贝克特说。“也许他们不知道有在DNS一个洞,如果受到攻击,他们的客户可能有损害他们的个人信息或财务信息。”
一个类似的调查美国国家标准与技术研究院(National Institute of Standards and Technology)每周进行的一项调查显示,在超过1,000家美国行业网站中,只有10家完全部署了DNSSEC。DNSSEC的先驱包括康卡斯特(Comcast)、Data Mountain Solutions、Infoblox、PayPal和Sprint。另外9家网站——包括由Dyncorp、Simon Property Group和瞻博网络(Juniper Networks)运营的网站——在NIST的调查中展示了DNSSEC的部分部署。
“这些工具和其他功能都没有做[DNSSEC],”克里斯·格里菲思,康卡斯特,高速上网工程总监说,这部署DNSSEC一年前。“我知道其他人也在关注它……总的来说,人们还在计划阶段,在这个阶段,他们可能需要继续前进。”
公司表明,没有部署DNSSEC的迹象读起来就像一个谁是美国工业的谁:五三银行,美国银行,卡地纳健康,嘉信理财,达美航空,迪士尼,易趣,目标,康典公司和富国银行。即使是高科技的领导者,如苹果,思科NIST的调查显示,美国谷歌、IBM和赛门铁克还没有部署DNSSEC。
“有很多的产品和提供的服务,使DNSSEC部署容易。我不认为这是障碍,”贝克特说。“公司只有这么多钱对安全举措的工作。这不是最上面的一个,人们都集中在。”
通常处于网络技术前沿的大学在部署DNSSEC方面也同样缓慢。346个大学域名由NIST监控只有17个全面部署DNSSEC。领导人包括巴克内尔大学,加州大学伯克利分校和印第安纳大学。落后者包括哈佛大学,耶鲁大学和普林斯顿大学。
美国唯一部署DNSSEC的部门是联邦政府雷竞技比分根据法律规定这样做。联邦机构分别来自管理和预算办公室的授权下,于2009年12月31日,一直支持DNSSEC。
最近的调查显示多数美国联邦机构已达到该任务:
- Secure64发现它测试了他们的签名域359个机构是65%,而这些组织的80%已经完全部署DNSSEC标准。
- 同样,NIST发现,在测试的1396个美国政府域名中,有76%的域名已经运行了DNSSEC,另有5%的域名正在部署该标准。
“我们已经在数周之内帮助政府机构部署DNSSEC,一旦供应商的作出决定,”贝克特说。“我希望,在银行业中至少一些主要银行将跨越这个门槛在2013年,将在2014年一月已经部署DNSSEC”
康卡斯特说,它在部署DNSSEC时几乎没有遇到什么技术问题。DNSSEC覆盖了该公司所有的住宅用户。
“在我们的网上论坛和其他公共场所和在DNSSEC社区,我们已经收到了我们的DNSSEC服务和缺乏与之相关的问题非常正面的评价,”格里菲斯说。“这是DNSSEC社区和我们的客户群中得到一致好评。”
然而,Griffiths指出,虽然康卡斯特的住宅用户受到DNSSEC的保护,但很少有中小企业客户要求附加安全措施。
“我们当然调查的产品和服务来支持,”格里菲斯说。“我们希望推出的东西,......增加了自动化,帮助他们推出了这一点,所以他们越来越使用我们的DNS缓存解析器的好处但签署自己的领域。”
Griffiths表示,他认为DNSSEC在顶级域名领域有发展势头;例如,加拿大在1月份开始签署它的.ca顶级域。但他预计,DNSSEC要被美国企业广泛采用还需要几年时间。
格里菲斯说:“我绝对希望银行、其他公司和互联网服务提供商能利用这一点。”“这需要时间和计划,我预计它会慢慢推出。我们已经证明,DNSSEC可以大规模推广,我们希望人们会跟随我们的脚步。”
[更多:6个迹象表明美国正在IPv6上超越世界]
DNSSEC部署的一个障碍是,内容交付网络(CDNs)很难按照标准的要求动态签署数据。这就是为什么像Akamai和spotlight这样的流行CDNs还没有完全部署DNSSEC的原因。
考虑到Akamai,其中15%和所有Web流量,并支持20全球顶级电子商务网站,30家媒体公司和前10家美国银行的8至30%之间进行。Akamai的提供其增强型DNS服务DNSSEC支持,但它已经工作了几年的时间才能弄清楚如何支持其核心内容传送服务的新兴的安全标准。
“对于我们的DNS映射服务,我们的终端用户来自世界各地,有15万台服务器。这是一个相当大且有趣的DNS文件,”Akamai的首席安全官Andy Ellis解释道。DNSSEC的编写方式是DNS是一个静态文件。大多数组织都有一个小的区域文件,每个月不会更改超过一次。我们使用的DNS文件大约有32亿条[资源记录]用来发送和签名,我们每20秒就会更改一次。对我们来说,我们正在进入真正的总数字,我们正在努力改善这一点。”
埃利斯承认,“DNSSEC重要的是要做到”但是他说,几Akamai的企业客户所要求的,或有兴趣在这个时间点核实他们的DNS流量。“我们看到的醒目多了很多蒸汽迁移到[安全套接字层],这还不够完善,但它是在改善安全显著的一步,”埃利斯说。
埃利斯说,Akamai客户中唯一要求DNSSEC的是联邦机构。
埃利斯说:“电子商务网站并不太在意,因为他们非常担心拒绝服务攻击。”“金融服务公司非常担心失败。他们非常担心DNSSEC的不良客户端部署会导致他们陷入黑暗。所以他们加入了增强的SSL验证。”
Ellis说,美国公司对Kaminsky漏洞的回应是用简单的变通方法来修补他们的DNS软件,而不是花时间来部署DNSSEC,后者是一个更完整但也更复杂的解决方案。
“我不认为卡明斯基漏洞是一个问题的那么大,现在,”埃利斯说。“DNSSEC不解决是非常真实[美国公司]的问题...像滚动的拒绝服务攻击和网络钓鱼为主的欺诈行为。这就是我们看到了很多的时间和精力花在”。